从深圳4•26电动大巴起火看系统安全方法
电动大巴的系统安全考虑,是非常重要的。我个人以为,相比乘用车而言,商用车、大巴其实有更高的安全要求,事实往往是倒挂的。这里写这篇文章,分三部分,第一是通过第一电动网邱主编的文章(参见:独家报道 | 深圳4.26电动大巴起火调查结果公布:过充引发火灾)提炼一下事故发生的关键特性;第二是将三方的系统设计摆在台面上来复盘,第三是宣传一下系统安全的理念。
第一部分: 事故关键要素
事故结论:动力电池过充=>电解液泄漏及电池短路=>火灾
事件牵涉方:
1.充电运营单位是普天新能源(深圳)有限责任公司:运营管理直流充电机和充电管控系统
2.车辆制造单位是深圳市五洲龙汽车有限公司:提供整车集成和整车控制和整车监控系统
3.电池系统制造单位是深圳市沃特玛电池有限公司:提供电池包,BMS
事故过程:
1.14时13分,入场充电SOC62%
2.15时42分,动力电池SOC已满
3.17时,充电机检测到的电压超过充电机自身保护电压650V,充电机才强制中断充电过程
关键要素提取:
1.电池管理系统主控模块在充电过充中失效
2.车联系统仍然上传失效前数据
3.充电机没有根据限值切断,特别是没有根据总电压600V限值切断
4.充电运营系统的数据收集没有处理
5.车联系统的数据平台没有处理
调查组总结:
1.电池管理系统控制策略存在缺陷
2.充电系统功能不完善
3.监控数据不被重视
4.车–充电机–后台监控等缺乏系统的安全保护设计
调查组提议的改进措施:
1.电池企业:改进BMS设计
2.充电企业:充电设施增设限制过充的措施
3.整车企业
a.布置改进:对结构、内饰材料、高低压电缆进行改进设计
b.布置改进:控制电池箱相对集中的车辆尾部电池舱的环境温度
第二部分:相关的系统设计要素
大巴的结构布置示意图,可以如图1所示。
图1 五洲龙大巴结构示意图
根据参考文献1,沃特玛基于客车的系统是BMS整套电池管理系统,包括主机模块、采集模块、显示屏模块、绝缘检测模块、CAN盒等
电池管理主机模块(BMS):
BMS主模块可接收BMU(电池单体信息采集模块)部件上传的电池组信息,
计算电池容量,健康状态等,能随时给出电池组整个系统的剩余容量。
CAN通信:在显示屏模块指定位置显示,通过整车CAN通讯口上传到汽车整车控制器和仪表总线。
控制电池放电功率:电池功率基于SOC,电压和温度等条件下,可允许的10s 放电功率
可配置的最大容量为1000AH,精度5%。
BMU:
采集单体电池的电压、电流还有温度等
单体电压采样范围 0~5V,采样精度达到±(0.3%RD+0.2%FS)
温度采样范围-40℃ ~ 120℃
采样精度±1℃
电池管理系统显示屏
显示系统运行信息、参数配置和采集信号显示等。
绝缘检测模块:
对电池系统地绝缘状态进行检测,采用低频信号注入法,能够自动适应系统漏电容和绝缘电阻的大小。
充电管理CAN盒:
CAN盒承担的是充电桩和BMS系统之间的信息沟通工作
当车辆开始充电,充电枪插入车辆充电座时,经过一系列的沟通之后,进入正常的充电状态,
CAN总线通信速率:250kBIT/s
根据这些描述,我们把真个系统重构出来大概是这么一个系统,车辆有三路基本的CAN,如图2所示
CAN1:BMS与整车控制器的通信CAN
CAN2:BMS收集CAN线,同时将需要与充电机交互的CAN信息发送出去
CAN3:直流充电与整车通信的盒子,这个盒子就把单体信息,充电需要的信息整合出去
这里是推测的部分:
1.BMS是直接控制配电盒的,只有BMS才能切断继电器
图2 大巴系统架构
根据以上的信息,大概可以做出这样的推论:
1)BMS没有采取更多的保护设计,BMS比较容易死机
1.1 如下图3所示,理论上有个备份的系统比较合适
图3 2oo2D的多个变种
1.2 节约的作法,遇到主MCU(承担主要的算法工作)无法处理,采用备份MCU监控重启或者报警也行
图4 主从MCU监控系统
2)单体的信息通过内部一路CAN传送,最远的BMU与整个BMS的距离很长,电源的供给和抗干扰的回路设计起来也是比较费劲的
3)BMU本身也只有简单的MCU+ASIC的方式,只有比较简单的测量功能,由于考虑到大巴的长度问题,如果采用单体过压或者欠压报警,用单纯的IO信号也可能存在较多问题
图5 乘用车BMU基本架构
4)CAN盒的设计,是一个比较大的问题,由于与BMS没有一个很好的通信机制,所以最好的办法是进入BMS作为一部分监控起来
对于电池管理系统的建议:
a)对于单体和模块过压这样的故障,需要在BMU端做独立的电路,加检测芯片和独立于MCU的反馈通路
b) 对于整车控制器的权限,不仅仅需要通过CAN来断开继电器,当BMS死机无法发送心跳报文的时候,整车控制器可采集直控方式切断
接下来说说直流充电的事情,整个GB/T20234.3和GB/T27930,是由BMS主控,充电机辅助的。如果充电机在后期没有BMS的信息的时候,不退出,这个系统稳定性可想而知。
在整个充电阶段,BMS实时向充电机发送电池充电需求,充电机根据电池充电需求来调整充电电压和充电电流以保证充电过程正常进行。在充电过程中,充电机和BMS相互发送各自的充电状态。
BMS根据要求向充电机发送动力蓄电池具体状态信息及电压、温度等信息
BMS充电终止条件
根据充电过程是否正常:BMS诊断充电的需求和实际的情况
电池状态是否达到BMS自身设定的充电结束条件:电池的SOC核算情况
是否收到充电机中止充电报文来判断是否结束充电:这条表征充电桩的自身状态
充电机终止条件为
停止充电指令:BMS的充电需求
充电过程是否正常:充电机诊断充电情况
是否达到人为设定的充电参数值:充电机本身的保护
是否收到BMS中止充电报文来判断是否结束充电:BMS的充电需求
图6 GB/T 27930 充电流程
对比Combo或者Chademo系统(编者:指欧盟和日本采用的充电标准)的充电过程,在充电过程中的失效,BMS整体失效一般不会发生,而且本身采取了PWM+PLC通信两种不同形式交互整个充电过程。前者用幅度表征充电过程,PLC通信交互控制信息。我个人对于修订后的GB27930一系列在系统安全上的缺陷,觉得后续真的要在互通性、误报错和安全几项内容进行系统折中才行。短期内来看,一下子给乘用车私人客户的纯电动汽车来用,问题更多一些。
图7 充电失效保护概念